1 votes

wallefan avatar

Stratégie de groupe - contournement des paramètres proxy d'IE

Demandé el 23 de Novembre, 2015
Quand la question a-t-elle été
379 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

J'essaie de comprendre comment empêcher certains de nos utilisateurs de contourner un serveur proxy qui est déployé avec une stratégie de groupe.

Tout d'abord, j'utilise un fichier pac pour configurer les paramètres du proxy pour les PC. Les paramètres sont déployés avec la stratégie de groupe, cette partie fonctionne bien.

Mon problème est que certains utilisateurs utilisent cette commande pour réinitialiser les paramètres par défaut :

RunDll32.exe InetCpl.cpl,ResetIEtoDefaults

Les paramètres sont alors réinitialisés aux valeurs par défaut (pas de proxy) jusqu'à la prochaine application de la stratégie de groupe. J'ai essayé plusieurs choses pour résoudre ce problème, mais rien de ce que j'ai essayé jusqu'à présent ne l'empêche de fonctionner.

Actuellement, la stratégie ne permet pas à l'utilisateur de réinitialiser les paramètres (à la fois à partir de la configuration de l'ordinateur et de la configuration de l'utilisateur), j'ai essayé de définir les paramètres du proxy par machine plutôt que par utilisateur (avec les entrées de registre appropriées pour le proxy) et quelques autres choses. J'ai également supprimé les fichiers InetCpl.cpl, mais cela entraîne d'autres problèmes.

Je ne peux pas forcer les gens à utiliser le proxy de notre passerelle, j'ai besoin que les clients utilisent le fichier pac qui est défini (il y a certaines destinations pour lesquelles le proxy n'est pas utilisé en fonction de l'IP qu'elles résolvent) ainsi que plusieurs règles dans le fichier.

Demandé el 23 de Novembre, 2015 par wallefan

Réponses

Trop de publicités?

0voto

David Blevins avatar
David Blevins Points 10502

Vous avez des utilisateurs intelligents. Ou au moins un utilisateur intelligent et les autres qui suivent bien les instructions. Avez-vous essayé de bloquer l'exécution de RunDll32.exe dans l'espace utilisateur via la stratégie de groupe ?

J'ai rencontré des problèmes similaires dans mon dernier emploi, où j'assurais la maintenance des écoles. Ma solution consistait à établir une liste blanche pour le trafic sans proxy (seuls quelques sites en avaient besoin). Si vous ne passiez pas par le proxy, vous étiez bloqué pour à peu près tout. IIRC, aucun utilisateur régulier n'a eu de problème parce que j'avais le fichier pac offert à la fois par DHCP et DNS.

Répondu el 23 de Novembre, 2015 par David Blevins (10502 Points )

0voto

Nath avatar
Nath Points 1272

Je pense que vous êtes en train de mener une bataille perdue d'avance. Si les utilisateurs ont un accès administrateur à leur ordinateur portable, vous ne pouvez pas faire grand-chose pour les empêcher de jouer avec les paramètres du proxy.

La question de savoir pourquoi vos utilisateurs désactivent le proxy est également importante. Est-ce parce qu'un site auquel ils accèdent ne fonctionne pas avec le proxy ? D'après mon expérience, il est préférable de s'engager et de résoudre le problème ensemble plutôt que de lutter contre eux. Mais si la lutte est la seule option, vous devez vous battre au niveau du réseau.

Si la seule fonction du proxy est de vous faire économiser un peu de bande passante, vous pouvez peut-être vous en sortir en ne bloquant pas le trafic qui ne passe pas par le proxy, mais si le proxy est considéré comme un contrôle de sécurité, s'appuyer sur la politique de groupe pour forcer le trafic à passer par lui n'est pas une option viable. Les logiciels malveillants, les utilisateurs de téléphones Mac, Chrome, etc. ignoreront vos règles et tout le temps et l'argent investis dans le proxy seront gaspillés.

Vous avez dit que les toucans les forcent à utiliser le proxy comme c'est le cas pour les IP dont vous ne voulez pas. Pour résoudre ce problème, demandez à votre pare-feu d'autoriser le trafic web sortant vers ces IP et de bloquer tout autre trafic web ne provenant pas du proxy.

Personnellement, j'ai toujours préféré les proxys transparents plutôt que de devoir configurer le proxy sur chaque client.

Répondu el 23 de Novembre, 2015 par Nath (1272 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X